Настройки конфигурации приложения Application Control
Вы можете сконфигурировать функциональность Application Control в редакторе конфигураций Application Control. Это доступно из нескольких мест на консоли Security Controls.
- Создать > Конфигурация управления приложениями
- Нажмите правой кнопкой мышы "Конфигурации Application Control", а затем выберите "Новая конфигурация управления приложениями"
- Создать > Политика агентов > Application Control > Создать.
Имейте в виду, что это назначит конфигурацию для политики после сохранения.
Самый верхний узел функции настроек конфигурации содержит три вкладки:
Функции
Выберите для включения следующих функций Application Control для этой конфигурации:
Управление исполняемыми файлами
Управление исполняемыми файлами работает с использованием конфигурации:
- Доверенное владение - во время обработки правила выполняется процесс проверки доверенного владения файлов и папок для подтверждения владения элементами в соответствии со списком указанных доверенных владельцев в конфигурации.
- Уровни безопасности - указание уровней ограничений для неавторизованных исполняемых файлов.
- Разрешенные и запрещенные элементы - предоставление или запрет доступа к конкретным элементам, применяемым для набора привил.
Управление привилегиями
Управление привилегиями позволяет вам создавать повторно используемые политики управления привилегиями, которые могут быть ассоциированы с любыми наборами правил и могут повышать или ограничивать доступ к файлам, папкам, дискам, хэшам файлов и компонентам Панели управления. Более точный уровень управления позволяет вам назначать конкретные привилегии для отладки или установки программного обеспечения, или для установки уровней интеграции для управления взаимодействием различных продуктов, таких как Microsoft Outlook и Microsoft Word.
Компонент управления привилегиями содержит четыре основные функции:
- Управление повышением привилегий для приложений.
- Управление повышением привилегий для компонентов Панели управления и фрагментов управления.
- Управление снижением привилегий для приложений.
- Управление снижением привилегий для компонентов Панели управления и фрагментов управления.
Управление браузером
Используйте эту функцию для автоматического перенаправления пользователей, когда они пытаются открыть указанный URL-адрес. Определив список запрещенных URL-адресов, вы сможете перенаправить любого пользователя, который попытается получить доступ к указанным URL-адресам, на страницу предупреждения по умолчанию или на особую веб-страницу. Вы также можете разрешить определенные URL-адреса, которые в сочетании с перенаправлениями обеспечивают дополнительную гибкость и управление, а также позволяют создать список разрешенных веб-сайтов.
Перед конфигурацией этой функции для Internet Explorer нужно включить расширения сторонних компаний с помощью настроек Интернета на каждой конечной системе. Иначе это может быть применено с помощью групповой политики.
Перенаправление URL-адресов совместимо с Internet Explorer 8, 9, 10 и 11. Во время использования Chrome все управляемые конечные системы должны быть частью домена.
Алгоритм хэширования
Предоставленный хэш файла позволяет точно идентифицировать файл в соответствии с его фактическим содержимым. Каждый файл обрабатывается в зависимости от его содержимого и цифрового хеша, который может быть связан с созданным отпечатком пальца. Управление приложениями делает доступными хэши отраслевых стандартов SHA-1, SHA-256 и Adler-32. Если файл был изменен, то хэш также изменяется.
Цифровой хэш является исключительным методом проверки безопасности вследствие его точности. Он идентифицирует каждый файл независимо от всех других факторов, кроме самого файла. Например, администратор получает цифровой хэш для всех исполняемых файлов на компьютере и записывает его. Затем пользователь пытается запустить приложение. Вычисляется цифровой хэш приложения, и затем сравнивается с записанными значениями. Если будет обнаружено соответствие, приложение получает возможность выполнения, а в противном случае оно запрещается. Эта методология также обеспечивает "защиту нулевого дня", поскольку она не только препятствует использованию новых приложений, но и блокирует любые приложения, зараженные вредоносным ПО.
Хотя хеширование файлов обеспечивают защиту, аналогичную доверенному владению, вы также должны подумать об использовании средств управления временем и безопасностью. Приложения постоянно обновляются с уровнями продукта, исправлениями ошибок и уязвимостей. Это означает, что все ассоциированные файлы также постоянно обновляются. Таким образом, например, если к продукту Microsoft Office применяется уровень продукта, то для работы обновленных компонентов теперь необходимо создать новые цифровые хеши обновленных файлов. Убедитесь, что они доступны, когда доступно обновление, чтобы избежать простоев. Кроме того, рекомендуется удалить старый хэш.
Дополнительные настройки
Дополнительные настройки позволяют вам конфигурировать параметры, которые будут применяться на управляемых конечных системах после развертывания конфигурацииУправление приложениями. Если установлена новая конфигурация, содержащая новые расширенные настройки, все ранее существующие на конечной системе дополниельные настройки будут удалены.
На вкладке "Дополнительные настройки" нажмите правой кнопкой мыши в рабочей области и выберите Добавить для отображения списка доступных расширенных настроек. Настройки используются во время развертывания конфигурации на управляемых конечных системах.
Доступные дополнительные настройки
| Настройка | Тип данных | Описание |
|---|---|---|
| ADComputerGroupMembershipTimeoutSecs | Цифровой | Тайм-аут (сек) во время поиска вложенных групп компьютеров. Настройка по умолчанию - 120, установка значения равным 0 отключает тайм-аут. |
| ADQueriesEnabled | Цифровой | Эта настройка управляет типами запросов AD, используемых для определения различающихся имен и членства систем в группах компьютеров. Значение 0 отключает запрос, сделанный для AD, и использование групп компьютеров и организационных подразделений в конфигурации. Значение по умолчанию, равное 1, приводит к выполнению агентом функции запросов как с использованием различительного имени, так и запроса непосредственной (не вложенной) группы компьютеров AD. Вложенные группы компьютеров в конфигурации игнорируются. Значение, равное 2, приводит к выполнению запроса с использованием различительного имени, запросов непосредственных и вложенных групп компьютеров AD. Эта настройка может стать причиной проблем производительности DC из-за интенсивного использования ЦП. |
| AlternateTOCheck | Цифровой | Функция доверенного владения проверяет случаи чрезмерного использования процессора в процессе SYSTEM, когда в системе установлены драйверы фильтрации сторонних компаний. Включение этой настройки с помощью значения, равного 1, приведет к использованию Управление приложениями альтернативного метода поиска доверенного владения, которое в некоторых случаях снижает опасность возникновения данной проблемы. |
| AMFileSystemFilterFailSafe | Цифровой | Эта настройка конфигурирует работу драйвера системного фильтра, а именно в отказоустойчивом или в безопасном режиме. Если возникнет проблема с агентом, и он перестает отвечать, драйвер выполнит отключение в отказоустойчивом режиме и более не будет перехватывать запросы. Значение 1 указывает на установку отказоустойчивого режима, а значение 0 на установку безопасного режима. Отказоустойчивый режим установлен по умолчанию. Для изменения и активации этой настройки необходима перезагрузка агента. |
| AppHookDelayLoad | Текстовый | Установка этой настройки приводит к загрузке библиотеки Dll, AmAppHook, после настраиваемой задержки в миллисекундах. Эта настройка конфигурируется отдельно для каждого имени файла. Формат: <filename+extension>,<delay>. Имя файла и расширение могут содержать универсальные символы. Каждая пара должна разделяться точкой с запятой. Например, 'calc.exe,2000;note*.exe,6000' |
| AppHookEx | Текстовый | Управление приложениями Использует функцию привязки Windows в качестве функции ANAC (Application Network Access Control). В редких случаях во время подключения приложения могут демонстрировать неожиданное поведение. Эта настройка представляет собой список приложений, в которых не используются определенные функции ANAC, и поэтому они не подчиняются правилам ANAC. Если имя приложения указано в AppHookEx и в UrmHookEx, библиотека AmAppHook.dll не будет загружена. Несколько значений должны быть разделены точками с запятой (;). |
| AppInitDllPosition | Цифровой | Используйте эту настройку для указания, будет ли драйвер AsModLdr или раздел реестра AppInit использоваться для ввода данных Управление приложениями. Эта настройка также используется для определения позиции AMLdrAppinit.dll в разделе реестра AppInit_DLL. Укажите одно из следующих значений
Эта настройка должна использоваться только под руководством специалистов службы поддержки Ivanti. |
|
AssumeActiveSetupDespiteCitrix |
В случае использования клиентами Citrix опубликованных приложений программа активной установки Windows не запускается во время входа в клиент Citrix. По умолчанию Управление приложениями обнаруживает, какие клиенты используют протокол Citrix, а затем предполагает, что активная настройка исключается, и поэтому заблокированные приложения никогда не будут разрешены в ситуациях, которые могут возникать во время активной настройки. Кроме того, если будет обнаружено, что запрещенные приложения по-прежнему используются, Управление приложениями может выполнять более строгую проверку для клиентов Citrix, если вы установите значение этой настройки для Управление приложениями равным 1. Установите значение равным 2, чтобы прекратить проверку Управление приложениями таких клиентов 'Citrix' функцией, если будет обнаружено, что они действительно блокируются во время активной настройки. |
|
| BrowserAppStorePort | Цифровой | Введите порт, используемый для разрешения установки расширения управления браузером Chrome. |
| BrowserCommsPort | Цифровой | Введите порт для взаимодействия расширений браузера с агентом. |
| BrowserExtensionInstallHive | Цифровой | Эта инженерная настройка дает администратору возможность выбирать, в каком кусте реестра будет установлено расширение браузера Chrome Управление приложениями. Параметры:
Значение равное 0 предполагает, что администратор должен вручную сконфигурировать собственный корпоративный магазин приложений для развертывания расширений Chrome Управление приложениями. Действие по умолчанию имеет значение 2 - предполагает установку расширения Chrome в раздел HKCU. |
| BrowserHookEx | Текстовый | Значение может быть установлено для приложения 'Chrome.exe' так, чтобы предотвратить активацию привязки функции управления приложениями (BrowserHook.dll). Ассоциация с браузером предотвращает все сетевое взаимодействие до установления подключения расширения Chrome с агентом функции управления приложениями. Эта особая настройка не оказывает воздействие ни на одну из основных функциональностей. |
| BrowserNavigateEx | Текстовый | Список URL-адресов для навигации, разделенный символами (|), игнорируется во время обработки событий. URL-адреса в этом списке не подчиняются правилам перенаправления URL-адресов. |
| ComputerOUThrottle | Цифровой | Эта настройка ограничивает поиск в Active Directory для подключения клиента при проверке членства в организационных подразделениях посредством ограничения количества одновременных запросов. Эта настройка поможет уменьшить трафик запросов в домене в случае наличия большого количества подключений клиентов. Устеновите значение от 0 до 65535. |
| DFSLinkMatching | Цифровой | Пути каналов DFS могут быть добавлены в правила. Ссылки цели DFS обрабатываются как отдельные независимые элементы сравнения. Не существует преобразования данных канала в данные цели перед применением правил. Установите значение равным 1 для включения функции сравнения каналов DFS. |
| DirectHookNames | Текстовый | Привязка Windows для Управление приложениями загружается во все процессы, которые по умолчанию загружают user32.dll. Приложения, которые не загружают эту библиотеку DLL, не привязываются. Любые приложения, которые не загружают библиотеку user32.dll, должны быть включены в эту настройку с разделением точками с запятой списка полных путей или имен файлов. |
| DisableAppV5AppCheck | Цифровой | По умолчанию любое приложение, запущенное с помощью AppV5, освобождается от проверки доверенного владения. Используйте эту настройку для запрета выполнения этого действия со значением 1. |
| DisableSESecondDesktop | Цифровой | По умолчанию диалог аудита для функции самоповышения отображается на втором рабочем столе. Установите значение равным 1 для отображения диалога на основном рабочем столе. |
| DoNotWalkTree | Цифровой | По умолчанию правила процесса проверяют весь родительский раздел для поиска совпадений. Эта настройка сообщает правилам процесса только выполнять поиск родительского процесса и не проверять все дерево. Установите значение равным 1 для включения этой настройки. |
| DriverHookEx | Текстовый | Разделенный точками с запятой список приложений, которые не будут иметь ассоциации функции Управление приложениями (AMAppHook.dll). Для Управление приложениями необходимо иметь привязку для работы некоторых функций. Эта особая настройка должна использоваться только под руководством специалистов службы поддержки Ivanti. |
| EnableScriptPreCheck | Цифровой | Хотя сценарии в правилах со сценариями обрабатываются, это выполняется так, будто они возвратили значение false. Продолжительность выполнения сценариев зависит от их содержимого. Это настройка обеспечивает наилучшую производительность во время запуска компьютера и выполнения входа пользователем, поскольку запрещено выполнение всего, что зависит от результатов выполнения сценария. Установите значение 1 для того, чтобы процессы ожидали завершения выполнения соответствующего сценария. Это может существенно замедлить работу компьютера и входа пользователя в систему. Управление приложениями не ожидает выполнения сценариев бесконечно - используется 30-секундный тайм-аут. |
| EnableSignatureOptimization | Цифровой | Эта настройка улучшает производительность проверки правил во время использования подписей. Файлы, не соответствующие полному пути, не хэшируются, поскольку они не представляют этот же файл. Для включения функции установите значение равным 1. Включение этой настройки и функции ExtendedAuditInfo не будет отображать имена хэшированных файлов в метаданных аудита. |
| ExplicitShellProgram | Текстовый | Эта настройка используется функцией управления доступом приложений (AAC). Управление приложениями запускает программу оболочки (по умолчанию explorer.exe) в качестве переключателя для данного активного сеанса. Различные среды и технологии могут изменить приложение оболочки и агента, что может привести к проблемам обнаружения. Управление приложениями использует приложения в этом списке (в дополнение к программе оболочки по умолчанию) для определения начала сеанса и занесения его в журнал. Это разделенный точками с запятой список полных путей и имен файлов. |
| ExProcessNames | Текстовый | Список разделенных пробелами имен файлов, которые должны быть исключены из фильтра драйвера. Для изменения и активации этой настройки необходима перезагрузка агента. |
| ExtendedAuditInfo | Цифровой | Эта настройка расширяет информацию о файле для событий аудита. Он содержит данные хэша SHA-1 (Secure Hash Algorithm 1), размера файла, версию продукта, описания файла, поставщика, названия компании и продукта для каждого файла в его событиях аудита. Информация добавляется сразу после имени файла в журнале событий. Эта настройка включена по умолчанию. Для ее выключения введите значение - 0. Создание хэша или контрольной суммы выключено, когда установлена настройка EnableSignatureOptimization. |
| ForestRootDNQuery | Цифровой | Установите значение равное 1 для включения агента управления приложениями и выполнения запросов в корне леса. Запрос содержит данные для определения различительных имен подключаемых устройств в целях идентификации членства в организационных подразделениях и группах компьютеров для правил устройств. |
| ImageHijackDetectionInclude | Текстовый | Список имен процессов и всех дочерних процессов проверяется для обеспечения обработки дочернего образа без повреждений или модификаций, и соответствия запрошенному изначально. Если дочерний процесс не проверен, он будет прекращен. Это разделенный точками с запятой список полных путей и имен файлов. |
| OwnershipChange | Цифровой | Управление приложениями определяет, если доверенный файл изменяется владельцем без доверия. В этом случае владелец файла изменяется на пользователя без доверия, и любые запросы на выполнение блокируются. Некоторые приложения перезаписывают файлы таким образом, что не Управление приложениями может это обнаружить по умолчанию, поскольку владелец файла не меняется. Когда параметр установлен, Управление приложениями выполняет дополнительные проверки для обнаружения всех изменений и перезаписей файлов. Для включения функции установите значение равным 1. |
| RemoveDFSCheckOne | Цифровой | Если файлы хранятся на диске DFS, агент Управление приложениями использует ряд стратегий оценки правильности пути UNC. Одна из этих стратегий может вызвать задержки во время входа, если в Active Directory хранится и воспроизводится большое количество сценариев и исполняемых файлов. Установка значения равным 1 приведет к игнорированию Управление приложениями этой стратегии и повышению производительности в данной ситуации. |
| SECancelButtonText | Текстовый | Текст, отображаемый после нажатия кнопки отмены в диалоге "Повышение доверия". |
| SelfElevatePropertiesEnabled | Цифровой | Установите это значение равным 1 для включения функции свойств самоповышения доверия. Эта функция выключена по умолчанию. |
| SelfElevatePropertiesMenuText | Текстовый | Текст параметра контекстного меню для свойств самоповышения доверия. |
| SEOkButtonText | Текстовый | Текст, отображаемый после нажатия кнопки "ОК" в диалоге "Повышение доверия"". |
|
ShowMessageForBlockedDLLs |
Установите значение равным 1 для отображения поля сообщения Управление приложениями о запрещении доступа для запрещенных библиотек DLL. |
|
| UrlRedirectionSecPolicy | Цифровой | По умолчанию политика безопасности игнорируется функцией переназначения URL-адресов. Эта инженерная настройка позволяет администратору исключить переназначение URL-адресов для исполнения сконфигурированной политики безопасности. Для включения функции установите значение равным 1. Самоавторизация не поддерживается. |
| UrmForceMediumIntegrityLevel | Текстовый | Специальная настройка управления привилегиями пользователей используется для изменения уровня целостности, когда повышены привилегии пользователей для приложения, что по умолчанию устанавливает более высокий уровень целостности. Если эта настройка используется, уровень снижается до среднего. Это значение должно содержать список разделенных точками с запятой имен файлов. |
| UrmHookEx | Текстовый | Управление приложениями использует привязку Windows в качестве функции управления привилегиями. В редких случаях при подключении приложения демонстрируют неожиданное поведение. Эта настройка используется для перечисления приложений, в которых не используются определенные функции управления привилегиями пользователей. Если имя приложения указано в AppHookEx и в UrmHookEx, библиотека AmAppHook.dll не будет загружена. Несколько элементов должны быть разделены точкой с запятой. |
| UrmPauseConsoleExit | Текстовый | Используется функцией управления привилегиями пользователей. Когда повышен уровень доверия приложения консоли, приложение может быть открыто в новом окне консоли. Приложение будет выполнено и закрыто. Это может стать проблемой, если пользователю нужно увидеть выходные данные программы. Эта настройка позволяет оставить приложение открытым до нажатия клавиши. Это разделенный точками с запятой список полных путей и имен файлов. |
| UrmSecPolicy | Цифровой | По умолчанию политика безопасности в большинстве случаев игнорируется функцией управления привилегиями пользователей. Правила управления привилегиями пользователей применяются во всех случаях, когда установлен параметр "Только аудит". Это специальная настройка позволяет администраторам применять управление привилегиями пользователей для соответствия требованиям сконфигурированной политики безопасности. Для неограниченных и самоавторизуемых уровней безопасности правила управления привилегиями пользователей не применяются. К разрешенному уровню привилегий применяются правила управления привилегиями пользователей. Установите значение равным 1 для включения этой настройки. |
Родственные темы
Об управлении исполняемыми файлами